JPCERT-WR-2018-1001 2018-03-14 2018-03-04 2018-03-10

US-CERT Current Activity https://www.us-cert.gov/ncas/current-activity/2018/03/07/Cisco-Releases-Security-Updates-Multiple-Products

複数の Cisco 製品には、脆弱性があります。結果として、第三者が権限を昇 格したり、遠隔の第三者が任意のコードを実行したりするなどの可能性があり ます。 対象となる製品およびバージョンは次のとおりです。 - Cisco Prime Collaboration Provisioning (PCP) Software 11.6 - Cisco Secure Access Control System (ACS) 5.8 patch 9 より前のバージョン - Cisco Web Security Appliance (WSA) 上で稼働している Cisco AsyncOS 10.5.1 この問題は、該当する製品を Cisco が提供する修正済みのバージョンに更新 することで解決します。詳細は、Cisco が提供する情報を参照してください。

Cisco Security Advisory https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180307-cpcp Cisco Security Advisory https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180307-acs2 Cisco Security Advisory https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180307-wsa

US-CERT Current Activity https://www.us-cert.gov/ncas/current-activity/2018/03/06/Google-Releases-Security-Update-Chrome

Google Chrome には、複数の脆弱性があります。結果として、遠隔の第三者が 任意のコードを実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 65.0.3325.146 より前のバージョン この問題は、Google Chrome を Google が提供する修正済みのバージョンに更 新することで解決します。詳細は、Google が提供する情報を参照してくださ い。

Google https://chromereleases.googleblog.com/2018/03/stable-channel-update-for-desktop.html

Japan Vulnerability Notes JVN#15201064 https://jvn.jp/jp/JVN15201064/

株式会社コレガ製の無線 LAN ルータ CG-WGR1200 には、複数の脆弱性があり ます。結果として、当該製品にアクセス可能な第三者が、任意のコードを実行 するなどの可能性があります。 対象となるバージョンは次のとおりです。 - CG-WGR1200 ファームウエア 2.20 およびそれ以前 2018年3月14日現在、CG-WGR1200 のサポートは終了しています。当該製品を使 用しないでください。当該製品を引き続き使用する場合は、次の回避策を適用 することで、本脆弱性の影響を軽減することが可能です。 - 第三者が外部から当該製品にアクセスできないようリモート接続機能を無効にする - LAN 内からルータに対する不正なアクセスを防止する 詳細は、株式会社コレガが提供する情報を参照してください。

株式会社コレガ http://corega.jp/support/security/20180309_wgr1200.htm

Japan Vulnerability Notes JVN#33527174 https://jvn.jp/jp/JVN33527174/ Japan Vulnerability Notes JVN#60032768 https://jvn.jp/jp/JVN60032768/

WordPress 用プラグイン WP All Import には、クロスサイトスクリプティン グの脆弱性があります。結果として、遠隔の第三者が、ユーザのブラウザ上で 任意のスクリプトを実行する可能性があります。 対象となるバージョンは次のとおりです。 - WP All Import 3.4.7 より前のバージョン この問題は、WP All Import を開発者が提供する修正済みのバージョンに更新 することで解決します。詳細は、開発者が提供する情報を参照してください。

WP All Import https://wordpress.org/plugins/wp-all-import/#developers WP All Import https://plugins.trac.wordpress.org/changeset/1742744/ WP All Import https://plugins.trac.wordpress.org/changeset/1827741/

Japan Vulnerability Notes JVN#71816327 https://jvn.jp/jp/JVN71816327/ Japan Vulnerability Notes JVN#01837169 https://jvn.jp/jp/JVN01837169/

JTrim および WinShot のインストーラには、DLL 読み込みに関する脆弱性が あります。結果として、第三者が任意のコードを実行する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - JTrim 1.53c およびそれ以前 (インストーラ版) - WinShot 1.53a およびそれ以前 (インストーラ版) 2018年2月21日をもって、WoodyBells は JTrim および WinShot のインストー ラの提供を停止しています。ZIP 版の JTrim および WinShot を使用してくだ さい。なお、すでに JTrim および WinShot をインストールしている場合には、 この問題の影響はありません。詳細は、WoodyBells が提供する情報を参照し てください。

WoodyBells http://woodybells.com/jtrim.html WoodyBells http://woodybells.com/winshot.html

2018年3月6日、フィッシング対策協議会は、長崎県立大学との共同研究プロジェ クト「フィッシングサイトの早期検知に関する研究」についての情報を公開し ました。フィッシング対策協議会と長崎県立大学は、フィッシング詐欺の被害 を減少させることを目的に、2017年10月より産学共同研究プロジェクトとして 「フィッシングサイトの早期検知に関する研究」を行っています。 本共同研究では、フィッシングサイトに利用される URL やドメイン名に着目 し、フィッシングサイトで騙られるドメイン名の登録傾向から、攻撃者が取得 する可能性のあるドメイン名を予測する研究や、フィッシングサイトが公開さ れた際に、利用された商標所有者に通知するシステムに関する研究を行ってい ます。 研究経過は、2018年3月13日の情報処理学会で発表されました。発表した内容 については、後日、情報処理学会電子図書館内で公開される予定です。本共同 研究は、今後、応用研究への移行や実用化も視野にいれて活動を継続していく とのことです。 フィッシング対策協議会 https://www.antiphishing.jp/news/info/collabo_20180306.html 情報処理学会 https://ipsj.ixsq.nii.ac.jp/ej/